Pogoste trditve, ki jih najdemo v žetonih Azure ad oauth, vključujejo naslednje:
* AUD (občinstvo): To identificira predvidenega prejemnika žetona, ki je za Azure AD B2C ID aplikacije. Vloge bi morale potrditi to vrednost, da se zagotovi, da ustreza njihovemu osebnosti in zavrne žeton, če ne [3]. Občinstvo je sinonim za vire [3].
* ISS (izdajatelj): Ta zahtevek določa storitev varnostnega žetona (STS), ki je zgradila in vrnila žeton, in tudi identificira imenik, kjer je bil uporabnik overjen. Vloge bi morale potrditi to trditev, da se zagotovi, da je žeton prišel iz ustrezne končne točke [3].
* IAT (izdano pri): to predstavlja čas, ko je bil žeton izdan, v epohinem času [3].
* Exp (čas poteka): to kaže na čas, ko žeton postane neveljaven, predstavljen v epohinem času. Aplikacije bi morale uporabiti to trditev za preverjanje veljavnosti življenjske dobe žetona [3].
* NBF (ne prej): Ta trditev določa čas, ko žeton postane veljaven, v epohinem času. Običajno je enako kot čas, ko je bil žeton izdan, in vaša vloga bi morala uporabiti to trditev za preverjanje veljavnosti življenjske dobe žetona [3].
* Ver (različica): To kaže na različico žetona ID, kot jo opredeljuje Azure AD B2C [3].
* C_HASH (koda hash): V žetonu ID je vključen samo, če je žeton izdan skupaj s kodo za avtorizacijo OAuth 2.0. Uporablja se lahko za potrditev pristnosti kode za avtorizacijo [3].
* AT_HASH (Access Token Hash): vključen v žeton ID -ja samo, če je žeton izdan skupaj z žetonom OAUTH 2.0 in se uporablja za potrditev pristnosti žetona dostopa [3].
* Nonce: Strategija, ki se uporablja za ublažitev napadov ponovitve žetona. Vaša aplikacija lahko v zahtevi za avtorizacijo določi nonce z uporabo parametra poizvedbe "nonce". Vrednost, ki jo navedete v zahtevi, se oddaja nespremenjena v zahtevku "nonce" samo žetona ID [3].
* Sub (subjekt): Ta trditev predstavlja glavnico, o katerem žeton uveljavlja informacije, na primer uporabnik aplikacije. Vrednost je nespremenljiva in je ni mogoče prerazporediti ali ponovno uporabiti. Uporablja se lahko za varno izvajanje pregledov avtorizacije. Zahteva je privzeto napolnjena z ID -jem predmeta uporabnika v imeniku [3].
* ACR (referenca kontekstnega razreda za preverjanje pristnosti): Uporablja se samo pri starejših politikah [3].
* TFP (okvirna politika zaupanja): ime politike, ki je bila uporabljena za pridobitev žetona ID [3].
* AUTH \ _Time: čas, ko je uporabnik nazadnje vnesel poverilnice, zastopan v epohinem času. Ni diskriminacije med tem, da je ta overjanje sveža prijava, ena sama prijava (SSO) ali druga vrsta prijave [3].
* SCP (obseg): To se nanaša na dovoljenja, dodeljena viru za dostop do žetona. Več dodeljenih dovoljenj je ločeno s prostorom [3].
* AZP (pooblaščena stranka): ID aplikacije aplikacije stranke, ki je sprožila zahtevo [3].
* OID: Ta trditev vsebuje edinstven identifikator predmeta v Azure AD, je nespremenljiva in je ni mogoče prerazporediti ali ponovno uporabiti. Uporablja se lahko za prepoznavanje predmeta v poizvedbah na Azure AD [1].
Navedbe:
[1] https://stackoverflow.com/Questions/40972416/what-jwt-claims-from-azure-ad-tokens-be-safely-euse-for-User-Mappings
[2] https://stackoverflow.com/questions/70867353/azure-access-token-contains-info-that-i-thought-would-be-in-id-token-and-vi
[3] https://github.com/microsoftdocs/azure-docs/blob/main/articles/active-directory-b2c/tokens-overview.md
[4] https://www.descope.com/blog/post/noauth
[5] https://learn.microsoft.com/en-us/entra/identy-platform/access-token-claims-reference
[6] https://auth0.com/blog/refresh-tokens-what-are-they-and-when-to-use-them/
[7] https://learn.microsoft.com/en-us/entra/identy-platform/id-token-claims-reference
[8] https://www.descope.com/blog/post/access-token-vs-refresh-token